WordPress je najpopularniji CMS sistem, što ga čini omiljenom metom za hakere. Ako imate WordPress sajt, morate uložiti dodatne napore kako biste zaštitili svoje podatke. Evo rezimea najboljih praksi za zaštitu WordPress-a. Važno je napomenuti da ove mere ne garantuju 100% zaštitu od pokušaja hakovanja, uglavnom zbog toga što 100% siguran web sajt ne postoji, ali će vas zaštititi od većine napada.
Osnovne stvari za sigurnost WordPress sajta:
- Ažurirajte sve: Uvijek održavajte svoj WordPress, teme i dodatke ažuriranima na najnovije verzije. Ažuriranja često sadrže važne zakrpe za sigurnost koje rješavaju poznate ranjivosti.
- Koristite jake lozinke: Koristite jedinstvene i jake lozinke za sve korisničke naloge na svom sajtu. Nikad ne koristite lako pogodive lozinke kao „123456“ ili „admin“.
- Ograničite pristup administratorskom panelu: Ne dajte administratorski pristup svakom korisniku. Ograničite ga samo na one kojima je stvarno potreban.
- Napravite backup: Regelno pravite backup svog sajta, tako da u slučaju napada možete brzo obnoviti podatke.
Čuvajte svoj WordPress sajt i dodatke ažuriranim
Važno držati vaše glavne WordPress datoteke i sve vaše dodatke ažuriranim sa najnovijim verzijama. Većina novih WordPress i plugin verzija sadrže bezbednosne zakrpe. Čak i ako te ranjivosti ne mogu lako biti eksploatisane, važno je da ih ažurate.
Zaštitite svoje administratorsko područje WordPressa
Važno je ograničiti pristup Vašem administratorskom području WordPressa samo ljudima kojima je stvarno potreban pristup. Ako vaša stranica ne podržava registraciju ili stvaranje sadržaja na naslovnoj strani, vaši posetioci ne bi trebali pristupati vašoj / vp-admin / fascikli ili datoteki vp-login.php . Najbolje što možete učiniti je da dobijete svoju kućnu IP adresu i dodajte ove linije u .htaccess datoteku u vašem direktorijumu za WordPress admin zameniti xx.xxx.xxx.xxx sa vašom IP Adresom:
<Files wp–login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>
U slučaju da želite da dozvolite pristup više računara (kao što su vaša kancelarija, ku?ni računar, laptop, itd.), Jednostavno dodajte još jednu dozvolu xx.xxx.xxx.xxx na novoj liniji.
Ako želite da imate pristup vašoj administrativnoj oblasti sa bilo koje IP adrese (na primer, ako se često oslanjate na besplatne Vi-Fi mreže) ograničavanje administrativne oblasti na jednu IP adresu ili na nekoliko IP adresa može biti problematično. U takvim slučajevima preporučujemo da ograničite broj pogrešnih pokušaja prijavljivanja na vašu veb lokaciju. Na ovaj način ćete zaštititi vašu WordPress stranicu od napada i ljudi koji pokušavaju da pogađaju vašu lozinku. U takve svrhe možete koristiti plugin koji se zove WP Limit login attempts.
Ne koristite korisničko ime “admin”
Većina napadača ?e pretpostaviti da je vaše administrativno korisničko ime “admin”. Jednostavno možete blokirati mnoge napade jednostavno koristeći različito korisničko ime admin-a. Ako instalirate novi WordPress sajt, od vas će biti zatraženo administrativno korisničko ime tokom procesa instalacije WordPress- a.
Koristite jake lozinke
Postoje hiljade ljudi koji koriste fraze kao što su “lozinka” ili “123456” za njihove podatke prijavljivanja administratora. Takve lozinke se lako mogu pogoditi i one su na vrhu liste bilo kog napada. Dobar savet je da koristite čitavu rečenicu koja vama ima smisla i lako se sećate. Takve lozinke su mnogo, mnogo bolje od onih pojedinih fraza.
Uverite se da vaš računar nema viruse i zlonamerne programe
Ako je vaš računar zaražen virusom ili malvarom, potencijalni napadač može dobiti pristup vašim detaljima za prijavljivanje i napraviti važežu prijavu na vašoj veb lokaciji, zaobilazeći sve mere koje ste preduzeli ranije. Zbog toga je veoma važno imati ažuriran antivirusni program i zadržati ukupnu sigurnost svih računara koje koristite za pristup vašem WordPress sajtu na visokom nivou.
Naprednije mere za sigurnost WordPress sajta:
- Instalirajte sigurnosni plugin: Postoji nekoliko odličnih sigurnosnih plugina za WordPress, kao što su Wordfence, Sucuri i iThemes Security. Mogu vam pomoći u zaštiti od malvera, DDoS napada i drugih prijetnji.
- Omogućite dvostupanu autentifikaciju: Dvostupana autentifikacija dodaje dodatni sloj zaštite vašem administratorskom nalogu, zahtijevajući kod poslan preko SMS-a ili aplikacije pored vaše lozinke.
- Promenite URL prijave: Standardni URL prijave za WordPress je /wp-admin/. Možete ga promeniti u nešto manje prepoznatljivo kako biste otežali hakerima da ga pronađu.
- Sakrijte verziju WordPressa: Prikazivanje verzije WordPressa na vašem sajtu može dati hakerima informacije koje mogu iskoristiti za pronalaženje ranjivosti. Možete ga sakriti pomoću plugina ili uređivanjem koda.